Responders.NU полиция Нидерланды DeadBolt QNAP вымогательское ПО
Получив ключи, полицейские просто отозвали платежи, которые злоумышленники требовали в качестве выкупа.
Национальная полиция Нидерландов в сотрудничестве со специалистами ИБ-компании Responders.NU обманом выманила у операторов шифровальщика DeadBolt 155 ключей для дешифровки данных. Для этого полицейские платили злоумышленникам, получали ключи, а затем отзывали платежи.
Атаки с использованием DeadBolt начались в январе 2022 года. В качестве целей для кибератак операторы шифровальщика выбирают NAS различных производителей, но чаще всего под их удар попадают устройства от
QNAP Systems Inc. — производитель сетевых устройств и решений для хранения данных; Компания была основана в 2004 году как дочерняя компания IEI Integration Corporation.
QNAP специализируется на аппаратных системах для обмена файлами, управления хранилищами, виртуализации и облачных сервисах, а также на приложениях для наблюдения для дома и бизнеса. Компания предлагает ряд продуктов для различных сред, от SOHO до компаний масштаба предприятия."
data-html="true" data-original-title="QNAP"
>QNAP.
По данным голландской полиции, злоумышленники успели взломать более 20 000 устройств по всему миру и не менее 1000 в Нидерландах. С каждой жертвы вымогатели требуют по 0,03 биткоина (около $576 по текущему курсу).
Эксперты рассказали, что после выплаты выкупа DeadBolt направляет биткоин-транзакцию на адрес, используемый для выплаты выкупа. Эта транзакция содержит ключ для дешифрования данных жертвы, который можно найти в OP_RETURN.
Когда жертва предоставляет ключ, он преобразуется в хэш SHA256 и сравнивается с хэшем SHA256 мастер-ключа DeadBolt. Если ключ дешифрования совпадает с одним из хэшей SHA256, зашифрованные файлы на зараженном устройстве расшифровываются.
"Полиция заплатила выкуп, получила ключи дешифрования, а затем отозвала платежи. Собранные ключи позволяют разблокировать такие файлы, как ценные фотографии или административные данные, не тратя денег пострадавших", – говорится в
пресс-релизе
полицейских.
По словам Рики Геверса, эксперта из Responders.NU, киберпреступники быстро раскрыли уловку правоохранителей, которые успели собрать 155 ключей. Эти ключи помогут 90% жертв, обратившихся в органы.
Раз вымогатели раскрыли уловку, больше их так обмануть не удастся. Операторы DeadBolt уже поменяли принцип и требуют двойное подтверждение, прежде чем жертва получит ключ расшифровки.
SECURITYLAB.RU
